駭客利用假冒Gemini與Claude安裝網站散布惡意軟體,竊取開發者帳號與開發環境資料

來源: iThome
URL: https://www.ithome.com.tw/news/176273
發布日期: 2026-06-01
報告來源: EclecticIQ(https://blog.eclecticiq.com/seo-poisoning-campaign-leverages-gemini-and-claude-code-impersonation-to-deliver-infostealer)

摘要

駭客利用開發者對 AI 開發工具的需求,透過 SEO Poisoning(搜尋引擎排名操縱) 手法,偽造 Gemini CLI 與 Claude Code 安裝網站,誘導開發者下載含惡意軟體的安裝程式。活動自 2025年3月 開始出現,由資安研究者 @g0njxa 最初揭露。

攻擊流程

  1. 建立假冒網站(如 geminicli[.]co[.]comclaudecode[.]co[.]com
  2. 操縱 SEO 使假網站排名靠前
  3. 誘導開發者複製並執行網站提供的 PowerShell 安裝指令
  4. 指令在背景下載惡意軟體,同時安裝真正的工具以降低察覺機率

惡意軟體特性

  • 無檔案資訊竊取程式(Fileless Infostealer):完全在記憶體中運行,不寫入本機磁碟
  • 停用 Windows 安全機制:
    • AMSI(惡意軟體掃描介面)
    • ETW(事件追蹤)
  • 竊取目標資料:Cookie、登入資訊、加密金鑰、Local State
  • 涵蓋對象:瀏覽器、企業協作平臺、遠端存取工具、數位錢包、雲端儲存
  • 具備遠端執行指令能力

防禦建議

措施說明
驗證下載來源仔細確認軟體官方網站
啟用 PowerShell CLM強制啟用受限語言模式(Constrained Language Mode)
採用 FIDO 安全金鑰降低身分與存取風險

衍生頁面